Documento programmatico per la Sicurezza dei Trattamenti di Dati Personali

(1)

Documento programmatico per la Sicurezza

dei Trattamenti di Dati Personali

Decreto Legislativo 30 giugno 2003, n. 196

"Codice in materia di protezione dei dati personali"

Prot. n. 1578 del 14/03/2016

1

Istituto Comprensivo di Sennori

(2)

Documento programmatico per la Sicurezza

dei Trattamenti di Dati Personali

Effettuati da:

Ragione sociale: ISTITUTO COMPRENSIVO SENNORI Indirizzo: VIA Alghero, snc

Sede operativa: SARDEGNA (SS) Partita IVA: 92071230905

Attività: Istruzione Telefono: 0793049280

2

(3)

Indice Parte Prima

I. Premessa

II. Organigramma della Sicurezza dei trattamenti III. Dispositivi Hardware e software e banche dati IV. Analisi dei rischi

V. Misure di sicurezza adottate e da adottare Parte Seconda

a. Definizioni, ruoli, compiti

b. Linee guida Assistente Amministrativo c. Linee guida Docente

d. Linee guida Collaboratore scolastico

3

(4)

Parte Prima I. Premessa

Il presente documento, in ottemperanza alle prescrizioni contenute negli articoli 31 e seguenti del Decreto Legislativo 30 giugno 2003, n. 196 (cosiddetto “codice della privacy”), individua le linee guida generali, le azioni e le misure per il trattamento dei dati personali e sensibili in condizione di sicurezza.

Le misure individuate perseguono la finalità di ridurre al minimo, con riferimento alla tipologia dei dati trattati, i rischi di distruzione o perdita degli stessi, nonché i rischi di accesso non autorizzato, il trattamento non consentito o non conforme alle finalità di raccolta.

In tal senso il presente documento individua soggetti, compiti e responsabilità in materia di sicurezza dei trattamenti, descrivendo le modalità per l’analisi e la valutazione dei rischi, nonché le misure necessarie per ridurre tali rischi al minimo.

In termini operativi il presente documento individua non soltanto la protezione del patrimonio informativo da accessi non autorizzati e rischi di cancellazione, distruzione o perdita di dati, ma anche la limitazione degli effetti causati dall’eventuale occorrenza di tali cause.

Il sistema informativo descritto nel presente documento viene definito sicuro in quanto:

a) garantisce la disponibilità dell’informazione per il trattamento in termini funzionali ai livelli di servizio attesi;

b) garantisce l’integrità delle informazioni e dei servizi per il trattamento attraverso l’attribuzione di specifici e definiti incarichi;

c) garantisce l’autenticità delle informazioni quale certificazione delle fonti di provenienza dei dati;

d) garantisce la confidenzialità e la riservatezza delle informazioni in quanto definisce incarichi e istruzioni per le persone autorizzate ad effettuare i trattamenti.

Il presente documento si applica a tutte le attività svolte all’interno dell’Istituto che abbiano riflesso sulle attività di trattamento dei dati personali.

La stesura del presente documento è aderente alle seguenti linee guida:

a) analisi dello stato dell’organizzazione attraverso l’identificazione e distinzione delle responsabilità delle figure soggettive coinvolte nel trattamento; l’identificazione, l’inventario e l’analisi dell’hardware, del software e delle banche dati;

b) l’individuazione e la valutazione del rischio;

c) l’individuazione delle misure preventive e correttive;

d) l’individuazione di istruzioni agli incaricati e la previsione di un programma formativo.

4

(5)

II. Organigramma della Sicurezza dei trattamenti Titolare del trattamento dei dati:

Rita Ivana Camboni (Dirigente scolastico) Responsabile interno del trattamento:

Giovanni Gavino Degortes (Direttore S.G.A.) Amministratore di sistema:

Adelmo Sechi

Giovanni Gavino Degortes (Direttore S.G.A. – uffici di segreteria) Preposto alla tenuta delle password:

Adelmo Sechi ( Password laboratori informatici, Server e access point) Giovanni Gavino Degortes (Direttore S.G.A. – uffici di segreteria)

Nomine Soggetti Interni del trattamento dati - Struttura: Ufficio Presidenza.

Responsabili del trattamento Dott.ssa Rita Ivana

Camboni Via Alghero Sennori Dirigente Scolastico ssic80700q@ istruzione.it Nomine Soggetti Interni del trattamento dati - Struttura: Ufficio D.S.G.A.

Responsabili del trattamento Giovanni Gavino

Degortes Via Alghero Sennori Direttore dei Servizi Generali e

Amministrativi ssic80700q@ istruzione.it

5

(6)

Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Infanzia Nomine Soggetti Interni del trattamento dati - Struttura: Ufficio personale

Responsabili del trattamento

Nome e Cognome Indirizzo Città Profilo E-mail

Giovanni Gavino

Degortes Via Alghero Sennori Direttore dei Servizi Generali e

Amministrativi ssic80700q@ istruzione.it Incaricati del trattamento

Nome e Cognome Indirizzo Città Profilo E-mail

Carboni Maria

Grazia Via Alghero Sennori Assistente

Amministrativo ssic80700q@ istruzione.it Lizzeri Anna Maria Via Alghero Sennori Assistente

Amministrativo ssic80700q@ istruzione.it Morittu Anna Via Alghero Sennori Assistente

Amministrativo ssic80700q@ istruzione.it

Satta Maria Paola Via Alghero Sennori Assistente

Amministrativo ssic80700q@ istruzione.it

Incaricati del trattamento

Cognome e nome Città Profilo E-mail

CANU IOLE Sennori Insegnante ssic80700q@ istruzione.it COSSU MARIA CHIARA Sennori Insegnante ssic80700q@ istruzione.it COSSU MARIELLA Sennori Insegnante ssic80700q@ istruzione.it DETTORI GIUSEPPINA

GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it DETTORI VANNA Sennori Insegnante ssic80700q@ istruzione.it ESPOSITO DEBORAH Sennori Insegnante ssic80700q@ istruzione.it FAEDDA MARIA GRAZIA Sennori Insegnante ssic80700q@ istruzione.it FAEDDA RAIMONDA Sennori Insegnante ssic80700q@ istruzione.it FOIS NICOLETTA Sennori Insegnante ssic80700q@ istruzione.it FOIS RITA Sennori Insegnante ssic80700q@ istruzione.it IDDA TERESA Sennori Insegnante ssic80700q@ istruzione.it MARONGIU PIERUCCIA Sennori Insegnante ssic80700q@ istruzione.it MAZZONI BATTISTINA Sennori Insegnante ssic80700q@ istruzione.it MURETTO ANNA CINZIA Sennori Insegnante ssic80700q@ istruzione.it PIGA GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it PINTUS FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it PORCHEDDU ANTONELLA Sennori Insegnante ssic80700q@ istruzione.it

6

(7)

Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Primaria PORCHEDDU MARIA RITA Sennori Insegnante ssic80700q@ istruzione.it RUIU BAINGIA Sennori Insegnante ssic80700q@ istruzione.it SCANO VALERIA Sennori Insegnante ssic80700q@ istruzione.it SOLINAS ALESSANDRA Sennori Insegnante ssic80700q@ istruzione.it STOCCORO GIACOMINA Sennori Insegnante ssic80700q@ istruzione.it

Incaricati del trattamento BACCOLI CATERINA

ANGELA Sennori Insegnante ssic80700q@ istruzione.it BACCOLI MONICA Sennori Insegnante ssic80700q@ istruzione.it CAMBONI MARIA LISA Sennori Insegnante ssic80700q@ istruzione.it CASU GRAZIA Sennori Insegnante ssic80700q@ istruzione.it COLOMBINO CATERINA

GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it DEL VIGO MONICA Sennori Insegnante ssic80700q@ istruzione.it DI MEGLIO DESIRÈ Sennori Insegnante ssic80700q@ istruzione.it DORO GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it FANCELLU ADRIANA Sennori Insegnante ssic80700q@ istruzione.it FENU ANTONICA Sennori Insegnante ssic80700q@ istruzione.it FRANCA ANTONELLA Sennori Insegnante ssic80700q@ istruzione.it FRANCA MARISA Sennori Insegnante ssic80700q@ istruzione.it GARAU NATASCIA Sennori Insegnante ssic80700q@ istruzione.it GIBILISCO GIUSEPPINA Sennori Insegnante ssic80700q@ istruzione.it GIORDO TERESA Sennori Insegnante ssic80700q@ istruzione.it LADINETTI MAVI Sennori Insegnante ssic80700q@ istruzione.it LORIGA FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it MANAI GIUSEPPINA Sennori Insegnante ssic80700q@ istruzione.it MANCA DINA Sennori Insegnante ssic80700q@ istruzione.it MANCA LAURA Sennori Insegnante ssic80700q@ istruzione.it MANCA VALERIA Sennori Insegnante ssic80700q@ istruzione.it MANNU GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it MELE STEFANIA Sennori Insegnante ssic80700q@ istruzione.it MELINO MARIA GIUSEPPA Sennori Insegnante ssic80700q@ istruzione.it MURGIA BARBARA Sennori Insegnante ssic80700q@ istruzione.it OBINO FERNANDA Sennori Insegnante ssic80700q@ istruzione.it OBINO ROMINA Sennori Insegnante ssic80700q@ istruzione.it OLIVIERI ANNA Sennori Insegnante ssic80700q@ istruzione.it PAZZOLA FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it PINNA MARINA Sennori Insegnante ssic80700q@ istruzione.it PISANU GAVINA Sennori Insegnante ssic80700q@ istruzione.it PLUCHINO ANNA Sennori Insegnante ssic80700q@ istruzione.it SALIS ROSANNA Sennori Insegnante ssic80700q@ isrruzione.it

7

(8)

Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Secondaria SEGHENE ELISABETTA Sennori Insegnante ssic80700q@ istruzione.it USAI ANNA LISA Sennori Insegnante ssic80700q@ istruzione.it VALLEBELLA FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it ZICCHI GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it

ASARA GIUSEPPINA Sennori Insegnante ssic80700q@ istruzione.it BARTOLI SERGIO Sennori Insegnante ssic80700q@ istruzione.it BIDDAU MAURA Sennori Insegnante ssic80700q@ istruzione.it BLASINA SARA Sennori Insegnante ssic80700q@ istruzione.it CAMPESI FRANCA Sennori Insegnante ssic80700q@ istruzione.it CANU VITTORIANA Sennori Insegnante ssic80700q@ istruzione.it CASU CLAUDIA Sennori Insegnante ssic80700q@ istruzione.it CASU MARCELLO Sennori Insegnante ssic80700q@ istruzione.it CATTARI MANUELA Sennori Insegnante ssic80700q@ istruzione.it CHERVEDDU ALDO Sennori Insegnante ssic80700q@ istruzione.it CHESSA LUCIANA Sennori Insegnante ssic80700q@ istruzione.it FIORAVANTI MARIA RITA Sennori Insegnante ssic80700q@ istruzione.it FLORIS MARIA LUISA ANNA Sennori Insegnante ssic80700q@ istruzione.it FOIS ANTONELLA Sennori Insegnante ssic80700q@ istruzione.it FUMI MARIA RITA Sennori Insegnante ssic80700q@ istruzione.it GAZALE ALESSANDRO Sennori Insegnante ssic80700q@ istruzione.it HIJAZI MILENA Sennori Insegnante ssic80700q@ istruzione.it LAMBRONI MARCO Sennori Insegnante ssic80700q@ istruzione.it MARA MARCELLA Sennori Insegnante ssic80700q@ istruzione.it MARCELLINO PIERLUIGI

RICCARDO Sennori Insegnante ssic80700q@ istruzione.it MARGINESU ANNA Sennori Insegnante ssic80700q@ istruzione.it MARRAS GIUSEPPINA

MARIA ANTONIETTA Sennori Insegnante ssic80700q@ istruzione.it MELONI MARIANTONIA Sennori Insegnante ssic80700q@ istruzione.it MUNDULA MARIA Sennori Insegnante ssic80700q@ istruzione.it NIEDDU LAURA Sennori Insegnante ssic80700q@ istruzione.it NUFRIS ALBERTO Sennori Insegnante ssic80700q@ istruzione.it PALMAS ELEONORA Sennori Insegnante ssic80700q@ istruzione.it PEDROTTI PATRIZIA Sennori Insegnante ssic80700q@ istruzione.it PETRUZZI MARA

VALENTINA Sennori Insegnante ssic80700q@ istruzione.it PIPPIA MARCELLA Sennori Insegnante ssic80700q@ istruzione.it POLINAS RITA ANNA

ROSALIA Sennori Insegnante ssic80700q@ istruzione.it POSADINU GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it

8

(9)

Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Personale ATA MARIA

SALIS CLAUDIA Sennori Insegnante ssic80700q@ istruzione.it SANNA MAURO GIACOMO Sennori Insegnante ssic80700q@ istruzione.it SOTGIU GIUSEPPE

DOMENICO Sennori Insegnante ssic80700q@ istruzione.it URGEGHE DANIELE Sennori Insegnante ssic80700q@ istruzione.it USAI GRAZIA Sennori Insegnante ssic80700q@ istruzione.it

BRANCA MARIA PIERA Sennori Personale ATA ssic80700q@ istruzione.it BATTINO SEBASTIANA Sennori Personale ATA ssic80700q@ istruzione.it CABRAS NICOLETTA Sennori Personale ATA ssic80700q@ istruzione.it CARBONI GAVINUCCIA Sennori Personale ATA ssic80700q@ istruzione.it COLOMBINO CATERINA Sennori Personale ATA ssic80700q@ istruzione.it DESSENA GIUSTA Sennori Personale ATA ssic80700q@ istruzione.it FOIS GIUSEPPE Sennori Personale ATA ssic80700q@ istruzione.it MACCIOCU Sennori Personale ATA ssic80700q@ istruzione.it MASALA SALVATORE Sennori Personale ATA ssic80700q@ istruzione.it PIGA MARIA Sennori Personale ATA ssic80700q@ istruzioae.it PIREDDA GAVINA Sennori Personale ATA ssic80700q@ istruzione.it PIREDDA PIERO Sennori Personale ATA ssic80700q@ istruzione.it PISANO NATALIA Sennori Personale ATA ssic80700q@ istruzione.it SECHI PASQUALINA Sennori Personale ATA ssic80700q@ istruzione.it SINI LORENZINA Sennori Personale ATA ssic80700q@ istruzione.it TORRENI SALVATORE Sennori Personale ATA ssic80700q@ istruzione.it

9

(10)

III. Dispositivi Hardware e software e banche dati Dispositivi Hardware e software per il trattamento dati.

Elenco dei sistemi di elaborazione localizzati in una specifica struttura: Uffici Scuola di Secondo grado Via Alghero snc su cui è presente la Banca dati oggetto del trattamento dei dati.

Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura: Segreteria

Elenco Sistemi di Elaborazione

n. 1 Personal Computer NXT Intel Celeron CPU E1200 1,6 GHZ RM 2 GB Video

ACER Satta Maria Paola

n. 2 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB Video ACER Morittu Anna n. 3 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB Video ACER Lizzeri Anna Maria

n. 4 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB Video ACER Carboni Maria Grazia

n. 5 Personal Computer XENO P4 32 MT 160 GB 3.00 GHZ Presidenza

Elenco Software e sistema operativo Sistema Operativo MS

Windows XP Professional/Seven Professional/Otto Professional Sissi in rete

Microsoft office Argo in rete

CD BURNER XP PRO

10

(11)

Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A

Elenco Sistemi di Elaborazione n. 1 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB

Video ACER Ufficio D.S.G.A.

n. 1 Personal Computer HP PROLIANT ML 350 INTEL XEON 3,00

GHZ 1,OO GB Server Applicazioni

n. 1 Personale Computer Server Antivirus

Elenco Software e sistema operativo Sistema Operativo

Windows Server Sistema Operativo MS Windows Sistema Operativo XP Professional Microsoft office Sissi in rete CD BURNER XP Argo in rete PRO

ANTIVIRUS e BACKUP

Tutti gli edifici scolastici sono stati collegati tra di loro attraverso ponti radio, i quali consentono di gestire la rete LAN in maniera uniforme. Il software antivirus è stato installato in un PC che svolge le funzioni di manager e quindi distribuisce i pacchetti e gli aggiornamenti ai client della rete scolastica. Il database del software Kaspersky viene aggiornato quotidianamente in modo automatizzato.

I backup degli applicativi viene effettuato regolarmente con una frequenza settimanale da tutti gli operatori in apposito NAS di rete, la verifica dell'effettuazione dell'intervento è affidata al D.S.G.A.

11

(12)

IV. Analisi dei rischi

Nella tabella seguente sono elencati gli eventi potenzialmente in grado di determinare danno a tutte o parte delle risorse necessarie alla conservazione dei dati oggetto del trattamento. I rischi sono classificabili in funzione dell'evento che li determina, quindi sono determinati da:

Comportamento degli operatori;

Eventi relativi agli strumenti;

Eventi relativi al contesto.

Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura: Ufficio presidenza

Rischi Descrizione dell’impatto sulla sicurezza (Gravita Rischio: Bassissimo/Basso/Medio/Alto) Comportamento degli Operatori

Errore materiale R.Basso

Comportamenti sleali e fraudolenti R.Basso Carenza di consapevolezza, disattenzione e

incuria R. Basso

Sottrazione di credenziali di autenticazione R. Basso

Eventi relativi agli strumenti Intercettazioni di informazioni in rete R. Medio

Accessi esterni non autorizzati R. Medio Malfunzionamento, indisponibilità o

degrado degli strumenti R. Medio

Smapping o tecniche di sabotaggio R. Medio Azioni di virus informatici o di programmi

suscettibili di recare danno R. Medio

Eventi relativi al contesto

Errori umani R. Basso

Guasto a sistemi complementari (impianto

elettrico, climatizzazione, etc) R. Basso Eventi distruttivi, naturali o artificiali

(scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria

R. Basso

Sottrazione di strumenti contenenti dati R. Basso Accessi non autorizzati a locali o reparti ad

accesso limitato R. Basso

12

(13)

Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A.

Rischi Descrizione dell’impatto sulla sicurezza (Gravita Rischio: Bassissimo/Basso/Medio/Alto) Comportamento degli Operatori

Errore materiale R. Basso

Comportamenti sleali e fraudolenti R. Basso Carenza di consapevolezza, disattenzione R. Basso

Incuria R. Basso

Accessi esterni non autorizzati R.Medio Malfunzionamento, indisponibilità o

Smapping o tecniche di sabotaggio R.Medio Azioni di virus informatici o di programmi

Errori umani R.Basso

R. Basso

13

(14)

Nome Banca dati: Banche dati insegnanti - Struttura: Didattica

Rischi Descrizione

(Gravità Rischio dell’impatto sulla sicurezza:

Bassissimo/Basso/Medio/Alto Comportamento degli Operatori

Errore materiale R. Basso

Comportamenti sleali e fraudolenti R. Basso Carenza di consapevolezza, disattenzione e

incuria R. Basso

Accessi esterni non autorizzati R. Medio Malfunzionamento, indisponibilità o

Errori umani R. Basso

R. Basso

14

(15)

V. Misure di sicurezza adottate e da adottare

Nella tabella seguente sono elencati le misure di sicurezza, esse individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilità, sono suddivise nelle seguenti tre categorie in merito all'evento che si deve impedire:

contromisure di carattere fisico;

contromisure di carattere procedurale;

contromisure di carattere elettronico/informatico.

Comportamento degli operatori Rischio: Errore materiale

Descrizione dei rischi contrastati Misure già in essere Misure da adottare

Chiusura a chiave Sì -

SmartCard - Sì

Rilevazione biometriche - Sì

Badge Sì -

Fotocopiatrice con chiave - Si

Registrazione numero copia Sì -

Formazione - Sì

Autenticazione utente Si -

Identificazione utente Sì -

Istruzione incaricati Sì -

Sanzioni disciplinari - Sì

Procedura gestione chiavi Sì -

Controllo riproduzione audio/video - Sì

Registro distruzione - Sì

Rilevazione accessi - Sì

Vigilanza Sì -

Verifiche Sì -

Circolari Sì -

Crittografia - Sì

Firma digitale - Sì

Firewall Sì Sì

Gestione risorse umane Sì -

Cartelli segnaletici Sì -

Password Sì -

Protocollo di protezione - Sì

Armadi chiusi a chiave Sì -

Custodia in cassaforte Sì -

Sistemi di allarme Sì -

Videoregistrazione Si --

Registrazione accessi - Sì

Carico/scarico documenti - Sì

Rischio: Comportamenti sleali e fraudolenti

15

(16)

SmartCard - Sì

Badge Sì -

Fotocopiatrice con chiave - Sì

Formazione - Sì

Autenticazione utente Si -

Controllo riproduzione audio/video Si -

Vigilanza Sì -

Verifiche Sì -

Circolari Sì -

Crittografia - Sì

Firewall Sì Sì

Password Sì -

Videoregistrazione Sì -

Rischio: Carenza di consapevolezza, disattenzione e incuria

SmartCard - Sì

Badge Sì -

Formazione - Sì

Autenticazione utente Sì -

Vigilanza Sì -

Verifiche Sì -

Circolari Sì -

Crittografia - Sì

16

(17)

Firma digitale _ Sì

Firewall Sì Sì

Password Sì -

Rischio: Sottrazione di credenziali di autenticazione

SmartCard - Sì

Badge - Sì

Registrazione numero copia - Sì

Formazione - Sì

Autenticazione utente Sì -

Vigilanza Sì -

Verifiche Sì -

Circolari Sì -

Crittografia - Sì

Firewall Sì Sì

Password Sì -

Custodia in cassaforte - Sì

17

(18)

Eventi relativi agli strumenti

Rischio: Intercettazioni di informazioni in rete

Crittografia - Sì

Password Sì -

User-id Sì -

Log file - Sì

Antivirus aggiornato Sì -

Gruppo di continuità Sì -

Impianto certificato Sì -

Formazione personale - Sì

Rapporti provider - Sì

Backup Sì Sì

Firewall Sì Sì

Manutenzione - Sì

Assistenza - Sì

Identificazione utente - Sì

Rischio: Accessi esterni non autorizzati

Crittografia - Sì

Password - Sì

User-id - Sì

Log file - Sì

Backup Sì Sì

Firewall Sì Sì

Manutenzione - Sì

Assistenza - Sì

Rischio: Malfunzionamento, indisponibilità o degrado degli strumenti Descrizione dei rischi contrastati Misure già in essere Misure da adottare

Crittografia - Sì

18

(19)

Password - Sì

User-id - Sì

Log file - Sì

Backup Sì Sì

Firewall Sì Sì

Manutenzione - Sì

Assistenza - Sì

Rischio: Smapping o tecniche di sabotaggio

Crittografia - Sì

Password Sì -

User-id Sì -

Log file - Sì

Backup Sì Sì

Firewall Sì Sì

Manutenzione - Sì

Assistenza - Sì

Rischio: Azioni di virus informatici o di programmi suscettibili di recare danno

Descrizione dei rischi contrastati Misure già in essere Misure da adottare

Crittografìa - Sì

Password - Sì

User-id - Sì

Log file - Sì

Gruppo di continuità - Sì

19

(20)

Backup Sì Sì

Firewall Sì Sì

Manutenzione - Sì

Assistenza - Sì

Eventi relativi al contesto Rischio: Errori umani

Formazione - Sì

Badge controllo accessi - Sì

Sistemi biometrici controllo

accessi - Sì

Costruzione antisismica - Sì

SmartCard - Sì

Gruppo alimentazione elettrica - Sì

Dispositivi di emergenza - Sì

piano di emergenza Sì -

Linee guida Sì -

Dispositivo antincendio Sì -

Backup Sì Sì

Vigilanza Sì -

Sistema di allarme Si Sì

Videoregistrazione - Sì

Registro controlli accesso - Sì

Rischio: Guasto a sistemi complementari (impianto elettrico, climatizzazione, etc)

Formazione - Sì

accessi - Sì

SmartCard - Sì

20

(21)

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

Videoregistrazione Sì- -

Rischio: Eventi distruttivi, naturali o artificiali (scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria

Formazione - Sì

accessi - Sì

SmartCard - Sì

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

Rischio: Sottrazione di strumenti contenenti dati

Formazione - Sì

accessi - Sì

Smart Card - Sì

Piano di emergenza Sì -

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

21

(22)

Eventi relativi al contesto Rischio: Errori umani

Formazione - Sì

accessi - Sì

Smart Card - Sì

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

Rischio: Guasto a sistemi complementari (impianto elettrico, climatizzazione, etc)

Rischio: Accessi non autorizzati a locali o reparti ad accesso limitato Descrizione dei rischi contrastati Misure già in essere Misure da adottare

Formazione - Sì

accessi - Sì

Smart Card - Sì

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

22

(23)

Formazione - Sì

accessi - Sì

Smart Card - Sì

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

Rischio: Eventi distruttivi, naturali o artificiali (scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria

Formazione - Sì

accessi - Sì

Smart Card - Sì

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

Rischio: Sottrazione di strumenti contenenti dati

Formazione - Sì

accessi - Sì

SmartCard - Sì

23

(24)

Piano di emergenza Sì -

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

Rischio: Accessi non autorizzati a locali o reparti ad accesso limitato Descrizione dei rischi contrastati Misure già in essere Misure da adottare

Formazione - Sì

accessi - Sì

Smart Card - Sì

Linee guida Sì -

Backup Sì Sì

Vigilanza Sì -

Sistema di allarme Sì -

24

(25)

Banche dati insegnanti - Struttura; Didattica Comportamento degli operatori

Rischio: Errore materiale

SmartCard - Sì

Badge - Sì

Registrazione numero copia - Sì

Formazione - Sì

Autenticazione utente - Sì

Controllo riproduzione

audio/video Sì -

Vigilanza Sì -

Verifiche Sì -

Circolari Sì -

Crittografia - Sì

Criteri e procedure per il ripristino della disponibilità dei dati

Criteri e procedure per il ripristino dei dati: Procedura seguita per un eventuale ripristino della Banca dati specifica;

Pianificazione delle prove di ripristini: Descrizione del piano da attuarsi in caso di ripristino di una specifica Banca dati contenenti i dati oggetto del trattamento;

Criteri e procedure per il salvataggio dei dati: Procedura seguita per la esecuzione del Backup di una specifica Banca dati;

Luogo di custodia delle copie: Luogo di conservazione delle copie di Backup di una specifica Banca dati.

25

(26)

RIPRISTINO - Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura: Ufficio presidenza

Criteri e procedure per il

ripristino dei dati Pianificazione delle prove di ripristini

RIPRISTINO - Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A.

Criteri e procedure per il

ripristino dei dati Pianificazione delle prove di ripristini

SALVATAGGIO - Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi – Alunni

Criteri e procedure per il salvataggio dei dati Luogo di custodia delle copie

Mensile NAS di rete Ufficio CED

SALVATAGGIO - Nome Banca dati: Anagrafe fornitori e contratti Criteri e procedure per il salvataggio dei dati Luogo di custodia delle copie

Mensile NAS di rete Ufficio CED

26

(27)

Pianificazione degli interventi formativi previsti Struttura: Ufficio presidenza

Descrizione sintetica degli interventi

formativi Incaricato interessato Tempi previsti

Procedure per il trattamento dei dati

Procedure per la copia ed il ripristino degli archivi/banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno

Camboni Rita

Ivana 31/12/2016

Struttura: Ufficio D.S.G.A.

Descrizione sintetica degli interventi

Degortes Giovanni Gavino 31/12/2016

Struttura: Ufficio personale

Descrizione sintetica degli interventi formativi Incaricato interessato Tempi previsti Procedure per il trattamento dei dati Procedure

per la copia ed il ripristino degli

archivi/banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno

Carboni Maria Grazia 31/12/2016

Lizzeri Anna Maria 31/12/2016

Struttura: Didattica Descrizione sintetica degli interventi

Tutto il personale Docente e Ata

Struttura: Ufficio amministrazione

Descrizione sintetica degli interventi formativi Incaricato interessato Tempi previsti

Procedure per il trattamento dei dati Procedure per la copia ed il ripristino degli archivi /banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno Carboni Maria Grazia 31/12/2016

27

(28)

Descrizione sintetica degli interventi formativi: Argomento della formazione eseguita ad un Incaricato che ha come compito il trattamento dei dati presenti in una Banca dati e/o la gestione della stessa;

Incaricato interessato: Incaricato oggetto del piano formativo;

Tempi previsti: Tempi per la esecuzione dell'intervento formativo.

I presenti interventi sono stati tutti eseguiti. Tutto il personale è in grado di interconnettersi ed utilizzare gli archivi dati della rete interna.

28

(29)

Permessi di accesso ai dati

Elenco dei Permessi assegnati a tutti i soggetti che intervengono nel trattamento dei dati personali per una specifica Banca dati gestita da una struttura.

Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura:

Ufficio presidenza Soggetto

autorizzato Permessi

Lettura Accesso stampa Modifica Cancellazione Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A.

Soggetto

Lettura Accesso stampa Modifica Cancellazione Nome Banca dati: Banche dati insegnanti - Struttura: Didattica

Soggetto

Lettura Accesso stampa Modifica Cancellazione

29

(30)

Elenco delle sedi e degli uffici in cui vengono trattati i dati Ufficio di Presidenza

Ufficio D. S. G. A Ufficio di Segreteria

Ufficio Protocollo Ufficio Alunni

Sede indirizzo città

Scuola Secondaria di 1° Grado Via Alghero snc Sennori

Caseggiati scolastici dove si svolge l’attività didattica

Sede indirizzo città

Scuola Secondaria di 1° Grado Via Alghero snc Sennori

Scuola primaria “Anna Frank” Via Marconi Sennori

Scuola primaria Montigeddu Via Salvatore Cottoni Sennori Scuola dell’Infanzia “Santa

Vittoria”

Via Santa Vittoria Sennori

Scuola dell’Infanzia Montigeddu Via Catta Sennori

Scuola dell’Infanzia “Su Monte” Via Vivaldi n. 2 Sennori

30

(31)

Parte Seconda a) DEFINIZIONI

Trattamento

Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Dato personale

Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero identificazione personale.

Dati sensibili

I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dati giudiziari

I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

Titolare

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Responsabile

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

Incaricati

Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

Interessato

La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

Comunicazione

II dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal

Fornire chiarimenti o notizie a persone od enti che non siano rappresentanti di Istituzioni dello stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Diffusione

31

(32)

II dare conoscenza dei dati personali a soggetti indeterminati, non autorizzati dall’intestatario ne in modo palese ne sotto forma di messa a disposizione o consultazione.

Dato anonimo

II dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.

Blocco

La conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento.

Banca dati

Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

Comunicazione elettronica

Ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico.

Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile.

Misure minime

II complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31.

Strumenti elettronici

Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

Autenticazione informatica

L'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità.

Credenziali di autenticazione

I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per 1' autenticazione informatica.

Parola chiave

Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.

Profilo di autorizzazione

L'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti.

Strumenti e procedure

L'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

32

(33)

Titolare del Trattamento

II Titolare del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Il Titolare del trattamento deve assicurare e garantire direttamente che vengano adottate le misure di sicurezza ai sensi del CODICE IN MATERIA DI DATI PERSONALI e del DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA tese a ridurre al minimo il rischio di distruzione dei dati, accesso non autorizzato o trattamento non consentito, previe idonee istruzioni fornite per iscritto.

Il Titolare del trattamento, in relazione all'attività svolta, può individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Responsabili del trattamento dati che assicurino e garantiscano che vengano adottate le misure di sicurezza ai sensi del CODICE IN MATERIA DI DATI PERSONALI. Qualora il Titolare del trattamento ritenga di non nominare alcun Responsabile del trattamento dei dati, ne assumerà tutte le responsabilità e funzioni.

Responsabile del Trattamento dati

II Responsabile del trattamento dati è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo a cui sono affidate le seguenti responsabilità e compiti:

- Garantire che tutte le misure di sicurezza dati personali previste siano applicate.

- Redigere ed aggiornare ad ogni variazione l'elenco delle sedi in cui vengono trattati i dati.

- Redigere ed aggiornare ad ogni variazione l'elenco degli uffici in cui vengono trattati i dati.

- Redigere ed aggiornare ad ogni variazione l'elenco delle banche dati oggetto di trattamento.

- Se il trattamento è effettuato con mezzi informatici, redigere ed aggiornare ad ogni variazione l'elenco dei sistemi di elaborazione.

- Redigere e di aggiornare ad ogni variazione l'elenco delle sedi e degli uffici in cui viene effettuato il trattamento dei dati.

- Nominare per ciascun ufficio in cui viene effettuato il trattamento dei dati, un incaricato con il compito di controllare i sistemi, le apparecchiature, e se previsti, i registri di accesso ai locali allo scopo di impedire intrusioni o danneggiamenti.

- Definire e verificare periodicamente le modalità di acceso ai locali e le misure da adottare per la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità.

- Decidere se affidare il trattamento dei dati in tutto o in parte all'esterno della struttura dell’Istituto - Qualora il trattamento dei dati sia stato affidato in tutto o in parte all'esterno della struttura del titolare controllare e garantire che tutte le misure di sicurezza riguardanti i dati personali siano applicate.

Se il trattamento è effettuato con mezzi informatici, individuare, nominare e incaricare per iscritto, uno o più Responsabili della gestione e della manutenzione degli strumenti elettronici.

Se il trattamento è effettuato con mezzi informatici, individuare, nominare e incaricare per iscritto, uno o più Incaricati della custodia delle copie delle credenziali qualora vi sia più di un incaricato del trattamento.

Se il trattamento è effettuato con mezzi informatici, individuare, nominare e incaricare per iscritto, uno o più Incaricati delle copie di sicurezza delle banche dati.

- Custodire e conservare i supporti utilizzati per le copie dei dati.

33

(34)

Nomina del Responsabile del trattamento dei dati personali

La nomina di ciascun Responsabile del trattamento dei dati personali deve essere effettuata dal Titolare del trattamento con una lettera di incarico in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata dall'interessato per accettazione. Copia della lettera di nomina accettata deve essere conservata a cura del Titolare del trattamento in luogo sicuro.

Il Titolare del trattamento deve informare ciascun Responsabile del trattamento dati personali delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls. n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.

La nomina del Responsabile del trattamento dei dati personali è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, può essere revocata in qualsiasi momento dal Titolare del trattamento dei dati senza preavviso, ed eventualmente affidata ad altro soggetto.

Incaricati alla gestione e manutenzione degli strumenti elettronici

Compiti dei responsabili della gestione e della manutenzione degli strumenti elettronici

L' Incaricato della gestione e della manutenzione degli strumenti elettronici è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che sovrintende alle risorse del sistema operativo di un elaboratore o di un sistema di Banche di dati.

E' onere del Responsabile del trattamento, in relazione all'attività svolta, individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici.

E' compito degli Incaricati della gestione e della manutenzione degli strumenti elettronici:

- Attivare le credenziali di autenticazione agli Incaricati del trattamento, su indicazione del Responsabile del trattamento, per tutti i trattamenti effettuati con strumenti informatici.

- Definire quali politiche adottare per la protezione dei sistemi contro i virus informatici e intromissioni esterne nel sistema informatico;

- Proteggere gli elaboratori dal rischio di intrusione (violazione del sistema da parte di "hackers").

- Informare il Responsabile del trattamento dei dati personali nella eventualità che si siano rilevati dei rischi relativamente alle misure di sicurezza riguardanti i dati personali.

Qualora il Responsabile del trattamento ritenga di non nominare alcun Incaricato della gestione e della manutenzione degli strumenti elettronici, ne assumerà tutte le responsabilità e funzioni.

Nomina dei responsabili della gestione e della manutenzione degli strumenti elettronici

Il Responsabile del trattamento dati nomina uno o più soggetti Incaricati della gestione e della manutenzione degli strumenti elettronici a cui è conferito il compito di sovrintendere al buon funzionamento delle risorse del sistema informativo e delle Banche di dati.

Anche se non espressamente previsto dalla norma, è opportuno che il Responsabile del trattamento dei dati personali nomini uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici, specificando gli elaboratori o le banche dati che è chiamato a sovrintendere.

Il Responsabile del trattamento dei dati personali deve informare ciascun Incaricato della gestione e della manutenzione degli strumenti elettronici delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls. n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.

34

(35)

La nomina di uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici deve essere effettuata con una lettera di incarico e deve essere controfirmata per accettazione e copia della lettera di nomina accettata deve essere conservata a cura del Responsabile del trattamento dati personali in luogo sicuro.

La nomina dell'Incaricato della gestione e della manutenzione degli strumenti elettronici è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. Tale nomina può essere revocata in qualsiasi momento dal Responsabile del trattamento senza preavviso, ed eventualmente affidata ad altro soggetto.

Incaricato delle copie di sicurezza delle banche dati

Compiti degli incaricati delle copie di sicurezza delle banche dati

L'Incaricato delle copie di sicurezza delle banche dati è la persona fisica o la persona giuridica che ha il compito di sovrintendere alla esecuzione periodica delle copie di sicurezza delle Banche di dati personali gestite.

E' onere del Responsabile del trattamento dei dati personali, in relazione all'attività svolta, individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Incaricati delle copie di sicurezza delle banche dati.

Al fine di garantire l'integrità dei dati contro i rischi di distruzione o perdita, stabilisce, con il responsabile degli strumenti elettronici la periodicità con cui debbono essere effettuate le copie di sicurezza delle Banche di Dati trattate.

I criteri debbono essere concordati con l' Incaricato della gestione e della manutenzione degli strumenti elettronici in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata.

In particolare per ogni Banca di dati debbono essere definite le seguenti specifiche:

- Il "Tipo di supporto" da utilizzare per le "Copie di Back-Up".

- Il numero di "Copie di Back-Up" effettuate ogni volta.

- Se i supporti utilizzati per le "Copie di Back-Up" sono riutilizzati e in questo caso con quale periodicità.

- Se per effettuare le "Copie di Back-Up" si utilizzano procedure automatizzate e programmate.

- Le modalità di controllo delle "Copie di Back-Up".

- La durata massima stimata di conservazione delle informazioni senza che ci siano perdite o cancellazione di dati.

- L'Incaricato del trattamento a cui è stato assegnato il compito di effettuare le "Copie di Back-Up".

- Le istruzioni e i comandi necessari per effettuare le "Copie di Back-Up".

E' compito degli Incaricati delle copie di sicurezza delle banche dati:

- Prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi con copie di sicurezza secondo i criteri stabiliti dal Responsabile del trattamento dei dati personali.

- Assicurarsi della qualità delle copie di sicurezza dei dati e della loro conservazione in luogo adatto e sicuro.

- Assicurarsi della conservazione delle copie di sicurezza in luogo adatto e sicuro e ad accesso controllato.

- Di provvedere a conservare con la massima cura e custodia i dispositivi utilizzati per le copie di sicurezza, impedendo l'accesso agli stessi dispositivi da parte di personale non autorizzato.

- Di segnalare tempestivamente al Responsabile della gestione e della manutenzione degli strumenti elettronici, ogni eventuale problema dovesse verificarsi nella normale attività di copia delle banche dati.

35

(36)

Qualora il Responsabile del trattamento ritenga di non nominare alcun Incaricato delle copie di sicurezza delle banche dati, ne assumerà tutte le responsabilità e funzioni.

Nomina degli incaricati delle copie di sicurezza delle banche dati

II Responsabile del trattamento nomina uno o più soggetti Incaricati delle copie di sicurezza

delle banche dati a cui è conferito il compito di compito di effettuare periodicamente le copie di sicurezza delle Banche di dati gestite.

Anche se non previsto espressamente dalla norma, è opportuno che il Responsabile del trattamento dei dati personali nomini uno o più Incaricati delle copie di sicurezza delle banche dati, specificando gli elaboratori o le banche dati che è chiamato a sovrintendere.

Il Responsabile del trattamento dei dati personali deve informare ciascun Incaricato delle copie di sicurezza delle banche dati delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls. n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.

La nomina di uno o più Incaricati delle copie di sicurezza delle banche dati deve essere effettuata con una lettera di incarico e deve essere controfirmata per accettazione.

Copia della lettera di nomina accettata deve essere conservata a cura del Responsabile del trattamento dei dati personali in luogo sicuro.

Il Responsabile del trattamento dei dati personali deve consegnare a ciascun Incaricato delle

copie di sicurezza delle banche dati una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina.

Incaricato del trattamento dei dati personali

Compiti degli incaricati del trattamento dei dati personali

Gli Incaricati del trattamento sono le persone fisiche autorizzate a compiere operazioni di trattamento sui dati personali dal Responsabile del trattamento.

In particolare gli incaricati del trattamento dei dati personali debbono osservare le seguenti disposizioni:

- Gli incaricati che hanno ricevuto credenziali di autenticazione per il trattamento dei dati personali, debbono conservare con la massima segretezza le parole chiave e i dispositivi di autenticazione in loro possesso e uso esclusivo.

- La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito.

- La parola chiave non deve contenere riferimenti agevolmente riconducibili all'incaricato.

- L'incaricato del trattamento deve modificarla al primo utilizzo e, successivamente, almeno ogni sei mesi.

- In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave deve essere modificata almeno ogni tre mesi.

- Gli incaricati del trattamento non debbono in nessun caso lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento dei dati personali.

Gli incaricati del trattamento debbono controllare e custodire, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, gli atti e i documenti contenenti dati personali

- Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono 36

(37)

controllati e custoditi dagli incaricati fino alla restituzione in maniera che da essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle

operazioni affidate.

Nomina degli incaricati del trattamento dei dati personali

La nomina di ciascun Incaricato del trattamento dei dati personali deve essere effettuata dal Responsabile del trattamento con una lettera di incarico in cui sono specificati i compiti che gli sono stati affidati che deve essere controfirmata dall'interessato per presa visione.

Copia della lettera di nomina firmata deve essere conservata a cura del Responsabile del trattamento in luogo sicuro.

Il Responsabile del trattamento deve informare ciascun Incaricato del trattamento dei dati

personali delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls.

n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.

Il Responsabile del trattamento deve consegnare a ciascun Incaricato del trattamento dei dati

personali una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina.

Gli Incaricati del trattamento dei dati personali devono ricevere idonee ed analitiche istruzioni scritte, anche per gruppi omogenei di lavoro, sulle mansioni loro affidate e sugli adempimenti cui sono tenuti.

Agli Incaricati del trattamento dei dati personali deve essere assegnata una parola chiave ed un codice di autenticazione informatica.

Agli Incaricati del trattamento dei dati personali è prescritto di adottare le necessarie cautele per assicurare la segretezza della parola chiave e la diligente custodia dei dispositivi in possesso e ad uso esclusivo dell'incaricato.

La nomina dell'Incaricato del trattamento dei dati personali è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. Tale nomina può essere revocata in qualsiasi momento dal Responsabile del trattamento dei dati senza preavviso, ed eventualmente affidata ad altro soggetto.

TRATTAMENTO CON L'AUSILIO STRUMENTI ELETTRONICI Sistema di autenticazione informatica

Procedura di identificazione

Nel caso in cui il trattamento di dati personali è effettuato con strumenti elettronici, il Responsabile del trattamento dati deve assicurarsi che il trattamento sia consentito solamente agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

Identificazione dell'incaricato

II Responsabile del trattamento dati deve assicurare che il trattamento di dati personali, effettuato con strumenti elettronici, sia consentito solamente agli incaricati dotati di una o più credenziali di autenticazione tra le seguenti:

- Un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo

- Un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave

37

(38)

- Una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

Il Responsabile del trattamento dei dati personali deve assicurarsi che il codice per l'identificazione, laddove utilizzato, non potrà essere assegnato ad altri incaricati, neppure in tempi diversi.

Il Responsabile del trattamento dei dati personali deve assicurarsi che le credenziali di autenticazione non utilizzate da almeno sei mesi siano disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

Il Responsabile del trattamento dei dati personali deve assicurarsi che le credenziali siano disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

Ad ogni Incaricato del trattamento possono essere assegnate o associate individualmente una o più credenziali per l'autenticazione.

Caratteristiche della parola chiave

La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito.

- La parola chiave non deve contenere riferimenti agevolmente riconducibili all'incaricato.

- La parola chiave deve essere modificata dall'incaricato del trattamento al primo utilizzo e, successivamente, almeno ogni sei mesi.

- In caso di trattamento di dati sensibili e di dati giudiziali la parola chiave deve essere modificata almeno ogni tre mesi.

Cautele per assicurare la segretezza della componente riservata della credenziale

Gli incaricati debbono adottare le necessarie cautele per assicurare la segretezza della parola chiave e custodire diligentemente ogni altro dispositivo che gli è stato affidato per i sistemi di autenticazione informatica (badge magnetici, tessere magnetiche, ecc..).

In particolare è fatto divieto comunicare a chiunque altro incaricato le proprie credenziali di accesso al sistema informatico.

Istruzioni per non lasciare incustodito e accessibile lo strumento elettronico Gli incaricati hanno l'obbligo di:

- Non lasciare incustodito il proprio posto di lavoro.

- Di chiudere tutte le applicazioni aperte o meglio ancora di spegnere il sistema informatico in caso di assenza prolungata.

Sistema di autorizzazione

I Responsabili del trattamento hanno il compito di individuare gli Incaricati del trattamento per ogni tipologia di banca di dati personali trattata.

II tipo di trattamento effettuato da ogni singolo Incaricato del trattamento può essere differenziato.

In particolare ad ogni Incaricato del trattamento può essere data dal Responsabile del trattamento la possibilità di:

- Inserire nuove informazioni nella banca di dati personali - Accedere alle informazioni in visualizzazione e stampa

- Modificare le informazioni esistenti nella banca di dati personali - Cancellare le informazioni esistenti nella banca di dati personali

38